ATBroker.exe:一個被病毒利用的微軟進程

ATBroker.exe:一個被病毒利用的微軟進程

來自專欄 漁村安全

1、 前言

一般情況下,病毒會利用添加啟動項、計劃任務、服務的方式來實現開機啟動,達到留存和活躍的目的。然而,利用atbroker.exe系統進程,實現病毒開機啟動的方式並不常見。雖然該手法在2016年7月已經有被曝光,但是被發現的在野攻擊卻不多。不久前,某網友機子上的某殺毒軟體不停的提示有挖礦(zec幣)程序在運行,刪除惡意程序後,下次開機還是會不停的出現。

金山毒霸安全研究員小歐在一番苦心挖掘下,終於摸清了病毒的自啟、躲避殺軟的攻擊手法。

本次抓到的樣本,通過利用atbroker.exe自啟病毒母體,然後通過rundll32載入惡意模塊,最後實現文件的md5修改、釋放和執行挖礦程序。

2 、技術背景

2.1 atbroker.exe背景介紹

atbroker.exe(C:WindowsSystem32目錄下),源於微軟的「輕鬆訪問中心」。」輕鬆訪問中心」的一項功能是幫助用戶啟動輔助功能應用程序,常用的包括講述人,屏幕鍵盤和放大鏡。同時,這意味著第三方程序也可以通過註冊「輕鬆訪問中心」的方式來啟動。這一機制使得病毒可以通過寫註冊表的方式,利用atbroker.exe啟動惡意程序。

atbroker.exe的文件信息如下:

2.2 atbroker.exe 攻擊手段

早在2016年7月22就曝光了利用atbroker.exe運行惡意程序的方法,但是網上對利用該手法進行惡意攻擊的文章不多。詳情請戳:

hexacorn.com/blog/2016/

msdn.microsoft.com/libr

親自測試,觸發atbroker.exe啟動,有以下幾個場景

鎖屏或者登錄時

開機啟動時

運行atbroker.exe時

按下Ctrl+Alt+Del時

觸發UAC時

下面用一個小視頻演示UAC觸發atbroker.exe啟動惡意程序(以notepad.exe為例)的場景:

https://www.zhihu.com/video/979668390889242624

3、 zec幣挖礦攻擊

3.1 攻擊流程

從病毒母體的自啟動,到最終的挖礦程序執行,中間用了多層手法,用此方法有主要兩個目的:

隱藏母體,讓病毒長期駐存和活躍;

不斷改變MD5逃避殺軟查殺。

這裡用紅色字體標註惡意文件,用藍色字體標註系統進程,流程如圖所示

3.2 自啟動

樣機上的atbroker.exe利用的註冊表信息:

註冊表HKLMSOFTWAREMicrosoftWindows NTCurrentVersionAccessibilityATs下創建了一個Zlocal39的項,其中StartExe的值指向病毒母體,StartParams的內容是運行參數

woshiyizhixiaomaolv(我是一隻小毛驢?)

註冊表HKLMSOFTWAREMicrosoftWindows NTCurrentVersionAccessibilitySession1下的Configuration的值為Zlocal39

通過processmon 的開機監控發現,系統登錄時會啟動atbroker.exe,然後atbroker.exe接著執行惡意程序Zloc.exejPnAtDoPy.exe,參數 woshiyizhixiaomaolv

3.3 樣本分析

IDA 打開Zloc.exejPnAtDoPy.exe(MD5:27d6209b6e10183a126906a714390577),pdb路徑暴露了作者的QQ號。是故意留名?還是無意之舉。

Zloc.exejPnAtDoPy.exe主要是在temp目錄下釋放文件名隨機,後綴名為lbll的模塊並載入

釋放並載入ibll文件後,接著起rundll32載入idTemp.data,函數入口CgvSEcXgGkbWwkFa。(這裡的vCTemp.data(MD5:27d6209b6e10183a126906a714390577) 其實就是Zloc.exejPnAtDoPy.exe)

IDA打開idTemp.data(MD5:201136f459c3982bc75d440f8afe40c4),該模塊主要是創建線程和釋放挖礦文件到C:ProgramDataGTOrigin 目錄下,並解壓挖礦文件到%appdata%/Wtrl目錄下

Sub_10004A20( )關鍵代碼

釋放文件

進入到該目錄下查看這些文件,其中ini的文件為加密的配置文件,Wtrl.cab是包含挖礦模塊(後來證實是antpool的zec挖礦模塊)的壓縮包

Wtrl.cab的文件最後被釋放到%appdata%/Wtrl目錄下

接著rundll32調起Mine.exe(MD5:c849f42721cc0a0d66f405602126ecf0),運行參數

woshiyizhixiaomaolv

Mine.exe調起ThundCloud.exe(d9c6ab06dd0ea7703eff952d40c4e4ce),運行參數依然是woshiyizhixiaomaolv

ThundCloud.exe最後載入同目錄下的挖礦模塊,用wireshark 抓包得到礦池地址,賬號名和礦工名

4 、溯源

根據pdb路徑暴露的QQ號,查到作者於12年畢業,活躍於看雪論壇,擅長windows驅動開發

5、總結

通過本次事件的分析,atbroker.exe 是病毒很好的藏身之地。病毒再通過改變MD5和白+黑手法,能繞過大部分殺軟的查殺。觸發atbroker.exe來啟動病毒的場景很多,包括開機自啟、鎖屏、UAC和參數運行等。利用該機制,使得病毒能夠輕鬆拉活自己並長期駐存在系統中。目前,金山毒霸可完美防禦。

IOCs

27d6209b6e10183a126906a714390577

05b5f526631cb3c63ae45061dbac316a

201136f459c3982bc75d440f8afe40c4

c849f42721cc0a0d66f405602126ecf0

d9c6ab06dd0ea7703eff952d40c4e4ce

參考文章

hexacorn.com/blog/2016/

msdn.microsoft.com/libr

本機構賬號將持續關注和發布各類安全熱點事件,歡迎大家關注我們哦!

獵豹漁村安全局 - 知乎

想查看更多過往的報告?可以點擊下面哦 :-D

我們的知乎文章匯總:點擊查看

我們的微博:漁村安全的微博

我們的微信公眾號:漁村安全


推薦閱讀:

燕麥云何洋開講 | 2分鐘看懂黑客勒索病毒事件 教你如何防範
使用x64dbg脫殼之開源殼upx
警惕釣魚郵件——近期勒索軟體高發
這些安全管理方法,讓你不怕勒索者
病毒分析 | 一款史上最流氓的QQ營銷病毒

TAG:科技 | 殺毒軟體 | 計算機病毒 |